Bulletin d'alerte Debian

DSA-1918-1 phpmyadmin -- Plusieurs vulnérabilités

Date du rapport :
25 octobre 2009
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 552194.
Dans le dictionnaire CVE du Mitre : CVE-2009-3696, CVE-2009-3697.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans phpMyAdmin, un outil web pour administrer MySQL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-3696

    Une vulnérabilité de script intersite (XSS) permet aux attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide d'un nom de table MySQL contrefait.

  • CVE-2009-3697

    Une vulnérabilité d'injection SQL dans la fonctionnalité de générateur de schéma PDF permet aux attaquants distants d'exécuter des commandes SQL arbitraires. Ce problème ne concerne pas la version de Debian 4.0 Etch.

De plus, un renforcement supplémentaire a été ajouté au script setup.php pour le web. Bien que la configuration de serveur web fournie devrait s'assurer que ce script est protégé, cela s'avère ne pas être toujours le cas dans la pratique. Le fichier config.inc.php n'est plus accessible en écriture à l'utilisateur du serveur web. Consultez README.Debian pour de plus amples précisions sur la façon d'activer le script setup.php si et quand vous en avez besoin.

Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.9.1.1-13.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.11.8.1-5+lenny3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.2.1-1.

Nous vous recommandons de mettre à jour votre paquet phpmyadmin.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13_all.deb

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.